jueves, 27 de septiembre de 2012

Troyano tipo Form,  Falso Pedido de presupuesto.

En el día de ayer me reportaron el siguiente troyano que afecta a varias entidades de Argentina y Bolivia, en otra oportunidad ya fue analizado, pero esta vez utilizaron otro tipo de ardid para el engaño.
Este tipo de troyano esta programado en Delphi, y contiene falsos formularios que simulan el look & feel de la entidad bancaria, esto es para tratar de ser lo mayor convincente posible y solicitar todos los datos necesarios para realizar una estafa.


 Falso correo:


Los links están asociados a servicios de dirección, para ocultar el archivo malicioso, en este caso se trata de un .ZIP que contiene un ejecutable.

hxxps://secure.gravatar.com/avatar/6eaf26f8cc3f894ecfa99d990605671c?d=hxxp://www.olympusaquae.it/Pedido_presupuesto_DOC__.zip

hxxp://gsf.rcs.it/content/page.html?id_gsf=592737&link=http://ls400data.com/Pedido_presupuesto_DOC__.zip

hxxp://www.bizrate.com/rd2?t=http://47th.dk/Pedido_presupuesto_DOC__.zip




Icono, del ejecutable que contiene el ZIP, se encuentra compactado con UPX.




Análisis en V.T: con un indice bajo de detecciones.


Revisando el código de este ejecutable, se puede observar que descarga otra amenaza desde los siguientes sitios:



Descargamos la amenaza con malzilla y la analizamos en VT.


 Icono de la amenaza, la cual esta compactada con UPX y también programada en Delphi.



Decompilado el ejecutable se puede observar los posibles nombres que tomara el ejecutable en el sistema, atado a la key de auto run en el registro.









Alguno de los falsos formularios desplegados por la amenaza.









Se observan cadenas en hexadecimal, estas al pasarlas a ascii, solo nos muestran caracteres extraños, esto indica que están codificados por alguna rutina...





080C07100803017DFF1D141E0F6CEF62CA46C724405CD040  

Pasado a ascii queda     > y�¿t�FÿA/Ü Ád�¸?�Ìx�_




 Pero utilizando la rutina de des ofuscación que se observa aquí.


3E177999BF749F46FF412FDC16161FC16498B83F8CCC78975F

decodifica como

 Tarjeta de Coordenadas



Mas datos codificados:


3EEF2ACA7EFE6FDD10A75130F74DFD2DDA1A03489B24DE0427D67AE90D3D4CF2182A79A548FF6094DD6F
FD2FED36E358C6B66FF215C566EB1C053FED27AE3946EE2D083BE856FD1A5B8CF50A4B86B67CBF67F302538CB5749C4E83AB9FF228C363B16483A6
6687B57EABA39381BD15C2BF64F326C0608BA8F7479288A059FF35DC4F86D80025DA678EB179E91EA739
F828D213C6473725D971A69BA92BDB0824CB78F84A9F44EB0E79A75CC877C46880B105729E43E50356E87FA648FE2EC96C94FC0F0A73F742E51521CE0058A739E817
98888588466645546352313232145375879343584


Decodifican como:


http://www.sunXXXXXXXXX.dk/pdf/jab.php
http://schuXXXXXXXXXX.at/vs.haag.hausruck/projekte/3sds.php
http://www.poXXXXXXXX.nl/flash/trujilapz.php
http://www.barXXXXXXXtman.hu/images/_whatsup_black%2520jat__uy.php

Son los php que utiliza para consolidar y enviar los datos robados.

(XXXX agregadas por seguridad...)




Muestra en : http://www.mediafire.com/?iy3pbemasa50cvi


Passw = infected



Es todo por el momento.



@Dkavalanche  2012







No hay comentarios:

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!